prxsvc.exe - msdndr.pif - prxsvc.dll - NTRootKit

prxsvc.exe, msdndr.pif, prxsvc.dll, NTRootKit 1.1

Rootkit

C:\WINDOWS\system32\prxsvc.dll infected by "Backdoor.Win32.Agent.tx"
C:\WINDOWS\system32\dofcpr.dll infected by "Backdoor.Win32.Agent.tx" Virus!

BKDR_AGENT.TX - Hacktool.Rootkit
# dofcpr.dll
# phfpr.dll
# prxsvc.dll
# prxsvc.exe

HijackThis

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O21 - SSODL: prxsvc - {725A9115-9EBB-42D6-BFC0-B1579CF4184F} - prxsvc.dll
O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\system32\msdndr.pif

C:\winstall.exe
c:\WINDOWS\Prefetch\PRXSVC.EXE-1827484E.pf
c:\WINDOWS\system32\prxsvc.exe
C:\WINDOWS\system32\prxsvc.dll
C:\WINDOWS\system32\msdndr.pif
C:\WINDOWS\system32\msdndr.dat
C:\WINDOWS\system32\msdndr.pif
C:\WINDOWS\system32\msdndr.sys
C:\WINDOWS\system32\scmt16.exe
C:\WINDOWS\t2.exe

1. Click Start >> Ausführen >> schreibe rein --> Services.msc und Click OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

MSDN Driver (msdndr)

2. Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete 32bit MSDN Driver

Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein

dir /s /a "c:\prxsvc*.*" > c:\find.txt & start notepad c:\find.txt

Verzeichnis von c:\WINDOWS\Prefetch
28.03.2005 16:18 53.566 PRXSVC.EXE-1827484E.pf
1 Datei(en) 53.566 Bytes

Verzeichnis von c:\WINDOWS\system32
05.08.2004 14:00 61.440 prxsvc.exe
1 Datei(en) 61.440 Bytes

Start -- Ausführen -- regedit (reinschreiben)
bearbeiten - suchen - MSDNDR

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDNDR [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDNDR [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDNDR [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr

Lade haxfix.exe Speichere sie auf deinem Desktop.

Schliesse alle anderen Programme und schliesse alle offenen Fensterchen.

Mach einen Doppelklick auf die haxfix.exe um die Installation zu starten. (normalerweise verwendet man den Ordner C:\Programme\haxfix)

Wenn die Installation beendet ist, sorge dafür, dass ein Häkchen bei "Launch HaxFix" gesetzt ist.

Nun öffnet sich ein rotes Dos Fensterchen.

Wenn der Bericht kommt (er kommt zweimal):
Insert the haxdoor notify subkey without the numbers, and then press enter:
tippst du folgendes ein:

prxsvc

Drücke auf Enter.
Nun wird der Rechner gescannt, ob bestimmte Dienste installiert sind, die für diese Infektion ausschlaggebend sind. Wenn nichts gefunden wird, bekommst du die Meldung: No infection found. Dann hört das Programm auf zu laufen.

Werden aber doch Dienste gefunden, auch wenn es nur ein einziger ist, wirst du gebeten alle Fensterchen zu schliessen, denn der Rechner wird nun neu aufstarten. Schliesse also alle geöffneten Fensterchen, ausser dem roten Dos Fensterchen vom Haxfix. Das muss auf bleiben. Drücke dann wieder auf enter. Der Rechner wird nun wieder neu aufstarten.

Wenn der Rechner wieder hochgefahren ist, suchst du die Datei c:\haxfix.txt Diese Datei ist das Logfile vom HaxFix und gibt an, was gefunden und gelöscht worden ist, in Bezug auf diese Infektion.

arbeite smitfraud genau nach Anweisung ab smitfrautfix

dann scanne Online mit Kaspersky onlinescan - (alles manuell löschen oder mit der Killbox, was gefunden wird)

da ein Rootkit auf dem PC ist: RootkitRevealer laden

Alias: NTRootKit 1.1
Threat type: Backdoor
process: ntrootkit.exe: MD5 Hash: 20202b659a1c4eea891...
process: rtclient.exe: MD5 Hash: 57dcb9af9980452bb74...
process: rdspclips.exe: MD5 Hash: f5fe28e62d2de5a8d53...
process: upncont.exe: MD5 Hash: a93be44ebc6d6fe33c4...
process: wowdbe.exe: MD5 Hash: b5cbc56054e26847d46...
process: prxsvc.exe: MD5 Hash: 8a63e7e607ae597bc23...

msdndr.pif

CAT-QuickHeal 8.00 03.25.2006 (Suspicious) - DNAScan
Ewido 3.5 03.26.2006 Backdoor.HacDef.eq
Ikarus 0.2.59.0 03.24.2006 Email-Worm.Win32.Magistr.A
Kaspersky 4.0.2.24 03.26.2006 Backdoor.Win32.HacDef.eq
NOD32v2 1.1458 03.24.2006 probably unknown CRYPT.WIN32 virus
VBA32 3.10.5 03.26.2006 Backdoor.Win32.HacDef.eq

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr]
; Contents of value:
; C:\WINDOWS\system32\msdndr.pif
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 6d,73,64,6e,64,72,2e,70,69,66,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr]
; Contents of value:
; C:\WINDOWS\system32\msdndr.pif
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 6d,73,64,6e,64,72,2e,70,69,66,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr]
; Contents of value:
; C:\WINDOWS\system32\msdndr.pif
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 6d,73,64,6e,64,72,2e,70,69,66,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDNDR\0000]
"DeviceDesc"="MSDN Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr]
"DisplayName"="MSDN Driver"
"Description"="MSDN Driver Detect"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDNDR\0000]
"DeviceDesc"="MSDN Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr]
"DisplayName"="MSDN Driver"
"Description"="MSDN Driver Detect"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDNDR\0000]
"DeviceDesc"="MSDN Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr]
"DisplayName"="MSDN Driver"
"Description"="MSDN Driver Detect"

[HKEY_USERS\S-1-5-21-515967899-1482476501-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"a"="sc delete 32bit MSDN Driver\\1"

RootkitRevealer

C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP40\A0006608.sys 03.04.2005 13:36 3.26 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006888.sys 05.04.2005 07:51 3.26 KB Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\system32\msdndr.dat 24.03.2005 14:49 8 bytes Hidden from Windows API.
C:\WINDOWS\system32\msdndr.pif 24.03.2005 14:49 47.08 KB Hidden from Windows API.
C:\WINDOWS\system32\msdndr.sys 05.04.2005 14:24 3.26 KB Hidden from Windows API.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\** 04.04.2005 19:13 50 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\*** 04.04.2005 19:13 60 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\* 04.04.2005 19:13 38 bytes Hidden from Windows API.

Kaspersky-Onlinescan

C:\WINDOWS\system32\scmt16.exe Infected: Trojan-Downloader.Win32.Small.ckj
C:\WINDOWS\t2.exe Infected: not-virus:Hoax.Win32.Renos.ca